Author: Jérôme Kieffer Date: To: guilde Subject: Re: freebox et ip_split
On Tue, 17 Mar 2020 21:01:42 +0100
Raphaël Jacquot <sxpert@???> wrote:
> ils ont changé le fonctionnement
> maintenant l'ipv6 est natif, et l'ipv4 est tunellé vers un bidule CGNAT
> qui ne fonctionne jamais bien.
C'est ce que j'ai constaté ... j'ai rien contre l'IPv6 mais de là à couper l'IPv4, c'est laxatif.
> solution:
> faire un tunnel ipsec au dessus d'ipv6 vers un endpoint que tu maitrises
> en datacenter
J'ai déjà une infra OpenVPN avec KPI chez moi. Si je leur file une clé,
ils peuvent initier une connection sur mon réseau depuis internet et je
peux acceder en retour chez eux.
C'est la même idée que celle d'Olivier avec deux point positifs:
* le VPN, c'est de l'UDP dont on fait pas transiter du TCP sur du TCP
comme dans la solution d'Olivier car ca peut créer des dead-locks.
* Éviter de créer un compte dédié sur le serveur chez moi ... surtout
si le shell est customisé. C'est pas que j'ai pas confiance mais une
faille de sécu est si vite arrivée.
Et un point négatifs:
* OpenVPN nécessite d'être lancé en root (dans mon infra, c'est du VPN
en couche 2/ethernet, pas en couche 3/IP) or ils ont ni sudo, ni le mot
de passe root de la machine linux (ils n'en ont pas besoin).